Istio

作者 | 汤志敏 阿里云容器服务开发负责人 Kubernetes 是云原生时代的基础设施、云上的分布式操作系统。 9 月 26 日云栖大会容器专场，在《拐点已至，云原生引领数字化转型升级》的演讲中，容器服务开发负责人汤志敏表示：“阿里云容器服务已经拥有国内最大规模的公共云容器集群，据各大国际评测机构显示，其市场份额和产品综合能力中国内第一。 本次容器服务 ACK2.0 在规模、性能和弹性能力上全面升级，支持单集群万节点、90% 原生性能的安全沙箱容器、分钟级千节点弹性。此外，容器服务已经在全球 20 个地域部署，推出云原生混合云 2.0 架构和 ACK @Edge ，打造安全智能的无边界云计算。 本文根据演讲内容整理，关注阿里巴巴云原生公众号，回复“ 云原生 ”获得本文 PPT。 K8s，云原生时代的重要生产力 在早期，K8s 上跑的应用多是无状态的应用，而现在越来越多的企业核心业务、数据智能业务和创新业务也跑在 K8s 之上。以阿里云自身的云产品举例，包括企业级分布式应用服务 EDAS、微服务引擎 MSE、智能数据管理平台 Dataphin、数据湖分析 Data Lake Analytics 也部署在容器服务 ACK 之上。 如今，阿里云实时计算产品也推出了云原生实时计算 Flink 版本，让 Flink 可以部署在用户的 K8s 集群之上，让在线业务和流计算共享一个 K8s

将本篇内容转发至朋友圈，并截图于“京东云开发者社区”公众号后台进行回复。 我们将为第6、16、66、99、106位回复者送出《Kubernetes权威指南（第4版）》。 Kubernetes从一个新生事物发展为一个影响全球IT技术的基础设施平台，也推动了云原生应用、微服务架构、Service Mesh等热门技术的普及和落地。现在，Kubernetes已经成为明星项目，其开源项目拥有超过两万名贡献者，成为开源历史上发展速度超快的项目之一。 谁能比别人领先一步掌握新技术，谁就能在竞争中赢得先机。经过这些年的高速发展，Kubernetes先后发布了十几个大版本，每个版本都带来了大量的新特性，能够处理的应用场景也越来越丰富。《Kubernetes权威指南》遵循从入门到精通的学习路线，涵盖了入门、安装指南、实践指南、核心原理、开发指南、运维指南、新特性演进等内容，内容翔实、图文并茂，几乎囊括了Kubernetes当前主流版本的方方面面，无论是对于软件工程师、测试工程师、运维工程师、软件架构师、技术经理，还是对于资深IT人士，本书都极具参考价值。 Kubernetes是由谷歌开源的Docker容器集群管理系统，为容器化的应用提供了资源调度、部署运行、服务发现、扩容及缩容等一整套功能。《Kubernetes权威指南：从Docker到Kubernetes实践全接触（第4版）》从架构师

作者 | 汤志敏 阿里云容器服务开发负责人 Kubernetes 是云原生时代的基础设施、云上的分布式操作系统。 9 月 26 日云栖大会容器专场，在《拐点已至，云原生引领数字化转型升级》的演讲中，容器服务开发负责人汤志敏表示：“阿里云容器服务已经拥有国内最大规模的公共云容器集群，据各大国际评测机构显示，其市场份额和产品综合能力中国内第一。 本次容器服务 ACK2.0 在规模、性能和弹性能力上全面升级，支持单集群万节点、90% 原生性能的安全沙箱容器、分钟级千节点弹性。此外，容器服务已经在全球 20 个地域部署，推出云原生混合云 2.0 架构和 ACK @Edge ，打造安全智能的无边界云计算。 本文根据演讲内容整理，关注阿里巴巴云原生公众号，回复“ 云原生 ”获得本文 PPT。 K8s，云原生时代的重要生产力 在早期，K8s 上跑的应用多是无状态的应用，而现在越来越多的企业核心业务、数据智能业务和创新业务也跑在 K8s 之上。以阿里云自身的云产品举例，包括企业级分布式应用服务 EDAS、微服务引擎 MSE、智能数据管理平台 Dataphin、数据湖分析 Data Lake Analytics 也部署在容器服务 ACK 之上。 如今，阿里云实时计算产品也推出了云原生实时计算 Flink 版本，让 Flink 可以部署在用户的 K8s 集群之上，让在线业务和流计算共享一个 K8s

视频观看链接： 手把手教你部署 Istio 1.3 微信公众号 扫一扫下面的二维码关注微信公众号，在公众号中回复◉加群◉即可加入我们的云原生交流群，和孙宏亮、张馆长、阳明等大佬一起探讨云原生技术 来源： https://my.oschina.net/u/4148359/blog/3110983

如果你正在使用容器，特别是Kubernetes，那么你应该也听说过Istio。对于初学者来说，Istio是Kubernetes的服务网格（service mesh）。所谓服务网格，它是一个网络层，并且可以动态管理服务流量，然后以安全的方式进行管理。 如何充分使用Istio，这不是一篇博客文章能阐述清楚的。因此，在本文中我将介绍一些它的特性，更重要的是，你可以通过这篇文章，了解到一些方法来自动化解决某些实际问题。 Istio可以让你使用一组自定义Kubernetes资源来管理网络流量，并且可以帮助你保护和加密服务之间以及集群内外的网络流量。它全面集成了Kubernetes API，这意味着可以使用与其他Kubernetes配置完全相同的方式来定义和管理Istio设置。 权衡利弊,再做选择 如果要开始使用Istio，首先应该问自己为什么。Istio提供了一些非常有价值的功能，如金丝雀发布等，但是如果不增加一些复杂性，就无法使用它们。你还需要投入一定的时间来学习它。也就是说，如果你的情况合适使用它，你可以（并且应该）在自己的集群中谨慎且逐步地采用Istio的功能。 如果你要从头开始构建新环境，并且经过利弊权衡决定继续使用Istio，那么一定要从一开始就使用严格的相互TLS对其进行设置，并积极使用其强大的功能。具体操作请参考： https://istio.io/docs/setup

Our GKE cluster is shared to multiple teams in company. Each team can have different public domain (and hence want to have different CA cert setup and also different ingress gateway controller). How to do that in Istio? All the tutorial/introduction articles in Istio's website are using a shared ingress gateway. See the example shared ingress gateway that comes installed by istio-1.0.0: https://istio.io/docs/tasks/traffic-management/secure-ingress/ spec: selector: istio: ingressgateway # use istio default ingress gateway Okay, I found the answer after looking at the code of Istio installation

Service mesh是近几年才出现的一个新兴概念。它可以解决微服务之间通信愈发复杂的问题。那么什么是Service mesh？它有什么具体的功能？它的架构又是如何的呢？它与Kubernetes的关系是怎样的？所有答案戳文了解！ 在数字化转型的旗帜下，IT界的一大变化是大型单体应用程序被分解为微服务架构，即小型、离散的功能单元，并且这些应用程序在容器中运行。包含所有服务代码以及依赖项的软件包被隔离起来，并且能轻松从一个服务器迁移到另一个。 像这样的容器化架构很容易在云中扩展和运行，并且能够快速迭代和推出每个微服务。然而，当应用程序越来越大并且在同一个服务上同时运行多个实例时，微服务之间通信将会变得愈发复杂。Service mesh的出现将解决这一问题，它是一个新兴的架构形式，旨在以减少管理和编程开销的形式来连接这些微服务。 什么是Service mesh？ 关于Service mesh的定义，最为广泛接受的观点是：它是一种控制应用程序不同部分彼此共享数据的方式。这一描述包含了service mesh的方方面面。事实上，它听起来更像是大多数开发人员从客户端-服务器应用程序中熟悉的中间件。 Service mesh也有其独特之处：它能够适应分布式微服务环境的独特性质。在搭建在微服务中的大规模应用程序中，有许多既定的服务实例，它们跨本地和云服务器运行

上回书说到后端架构发展历程，还回顾完云计算的历史 本回将继续梳理云原生实现方案 Service Mesh 的发展历程，介绍 Service Mesh 的代表 Istio 的亮眼功能。 什么是原生 Native 在回顾完云计算的历史之后，我们对 Cloud 有更深的认识，接着继续看一下：什么是 Native？ 字典的解释是：与生俱来的。 那 Cloud 和 native 和在一起，又该如何理解？ 这里我们抛出一个我们自己的理解：云原生代表着原生为云设计。 详细的解释是：应用原生被设计为在云上以最佳方式运行，充分发挥云的优势。 这个理解有点空泛，但是考虑到云原生的定义和特征在这些年间不停的变化，以及完全可以预料到的在未来的必然变化，我们觉得，对云原生的理解似乎也只能回到云原生的出发点，而不是如何具体实现。 Cloud Native 是道，Service Mesh 是术 那在这么一个云原生理解的背景下，我们再来介绍一下对云原生应用的设想，也就是云原生应用应该是什么样子。 在云原生之前，底层平台负责向上提供基本运行资源。而应用需要满足业务需求和非业务需求，为了更好的代码复用，通用型好的非业务需求的实现往往会以类库和开发框架的方式提供，另外在 SOA/ 微服务时代部分功能会以后端服务的方式存在，这样在应用中就被简化为对其客户端的调用代码。 然后应用将这些功能，连同自身的业务实现代码，一起打包

> 原文链接： Istio 1.3 发布，HTTP 遥测不再需要 Mixer Istio 是 Google、IBM 和 Lyft 联合开源的服务网格（Service Mesh）框架，旨在解决大量微服务的发现、连接、管理、监控以及安全等问题。 Istio 对应用是透明的，不需要改动任何服务代码就可以实现透明的服务治理。 1.3 版本已经发布，距离上一个重要版本 1.2 发布已过去两个多月，我们来看看有哪些修改内容。 1. 智能协议检测 在之前的版本中，如果要使用 Istio 的路由功能， Service 的端口命名必须使用特殊的命名格式。如果用户不遵循该命名规则，就无法使用路由功能。从 1.3 版本开始，即使没有按照规则命名 Service 的端口，Istio 也会自动识别出站流量的协议为 HTTP 或 TCP 。目前还不支持自动识别入站流量的协议，下个版本将会支持。 2. 无 Mixer 的遥测功能（实验性） 这才是大家最期待的！该版本将大多数常见的安全策略相关的功能（如 RBAC）直接迁移到了 Envoy 中，同时也将大部分遥测功能迁移到了 Envoy 中。现在 Istio proxy 可以直接将收集到的 HTTP 指标暴露给 Prometheus ，无需通过 istio-telemetry 服务来中转并丰富指标信息。如果你只关心 HTTP 服务的遥测，可以试试这个新功能